Batch-Netzwerk – Übersicht

In diesem Dokument werden Netzwerkkonzepte für Batch erläutert, einschließlich der Netzwerkoptionen, wann die Netzwerkkonfiguration konfiguriert werden muss und wie das Netzwerk funktioniert.

Netzwerkoptionen

Netzwerkoptionen steuern, wie Batch mit anderen Quellen wie dem Internet und anderen Google Cloud-Ressourcen und -Diensten verbunden wird.

Batch hat die folgenden Netzwerkoptionen:

• Geben Sie das Netzwerk für einen Job an oder verwenden Sie das Standardnetzwerk.
• Verwenden Sie zusätzliche Netzwerkeinschränkungen:
  • Externe Verbindungen für Joblaufzeitumgebungen blockieren, entweder alle VMs oder bestimmte Container.
  • Batch-Ressourcen und -Daten mit VPC Service Controls schützen

Weitere Informationen zum Ermitteln der für Batch zu verwendenden Netzwerkoptionen finden Sie in diesem Dokument unter Wann muss das Netzwerk konfiguriert werden?. Weitere Informationen zu den Netzwerkkonzepten für die einzelnen Optionen finden Sie in Funktionsweise des Netzwerks in diesem Dokument.

Zeitpunkt der Netzwerkkonfiguration

Lesen Sie diesen Abschnitt, um zu bestimmen, ob das Netzwerk bei Verwendung von Batch konfiguriert oder die Standardnetzwerkkonfiguration verwendet werden soll.

In den folgenden Fällen müssen Sie das Netzwerk für Batch konfigurieren:

• Wenn in Ihrem Projekt oder Netzwerk VPC Service Controls verwendet wird, um den Netzwerkzugriff für Batch einzuschränken, müssen Sie die Netzwerkkonfiguration entsprechend der Dokumentation VPC Service Controls mit Batch verwenden konfigurieren.
• Wenn die Einschränkung der Organisationsrichtlinie compute.vmExternalIpAccess erfordert, dass Ihr Projekt VMs ohne externe IP-Adressen erstellt oder Ihr Netzwerk den privaten Google-Zugriff verwendet, müssen Sie Jobs erstellen, die den externen Zugriff für alle VMs blockieren.

• Wenn Sie das Standardnetzwerk nicht verwenden können oder möchten, müssen Sie das Netzwerk für Jobs angeben.

  Überprüfen Sie Folgendes, um festzustellen, ob Sie das Standardnetzwerk für einen Job verwenden können:

  • Das Standardnetzwerk für Ihr Projekt ist bereits vorhanden. Neue Google Cloud-Projekte enthalten automatisch das Standardnetzwerk, sofern die Einschränkung der Organisationsrichtlinie compute.skipDefaultNetworkCreation nicht aktiviert ist.
  • Das Standardnetzwerk unterstützt Ihre spezifischen Netzwerkanforderungen. Wenn das Standardnetzwerk für Ihr Projekt geändert wird, können Probleme bei Ihnen oder anderen Nutzern auftreten. Weitere Informationen zum Standardnetzwerk finden Sie in diesem Dokument unter Standardnetzwerkkonfiguration.

Auch wenn dies nicht erforderlich ist, können Sie das Netzwerk konfigurieren, um die Sicherheit Ihrer Batch-Ressourcen und -Daten zu verbessern. Wenn Sie beispielsweise die Sicherheit für Jobs verbessern möchten, die Container verwenden und den externen Zugriff nicht für alle VMs blockieren, können Sie optional Jobs erstellen, die den externen Zugriff nur für einen oder mehrere Container blockieren. Wenn Sie ein nicht standardmäßiges Netzwerk oder zusätzliche Netzwerkeinschränkungen verwenden, können Sie das Prinzip der geringsten Berechtigung leichter implementieren. Weitere Informationen zu den Optionen, die Sie zum Konfigurieren von Netzwerken für Batch verwenden können, finden Sie in diesem Dokument unter Funktionsweise von Netzwerken.

Wenn Sie kein Netzwerk konfigurieren müssen oder dieses nicht benötigen, können Sie einen Job erstellen, ohne Netzwerkoptionen anzugeben, um die Standard-Netzwerkkonfiguration zu verwenden.

Funktionsweise von Netzwerken

In den folgenden Abschnitten werden Netzwerkkonzepte für Batch erläutert:

• Stellennetzwerk
• Zusätzliche Netzwerkeinschränkungen
• Standard-Netzwerkkonfiguration

Jobnetzwerk

Jeder Job wird auf virtuellen Compute Engine-Maschinen (VMs) ausgeführt, die Teil eines Google Cloud-VPC-Netzwerks und eines Subnetzes dieses Netzwerks sein müssen.

VPC-Netzwerke verbinden VMs mit anderen Quellen wie dem Internet und anderen Google Cloud-Ressourcen und -Diensten. Jedes Netzwerk besteht aus mindestens einem Subnetzwerk, das auch als Subnetz bezeichnet wird. Dabei handelt es sich um einen oder mehrere Bereiche von IP-Adressen, die einer Region zugeordnet sind. Jede VM hat eine Netzwerkschnittstelle mit einer internen und einer optionalen externen IP-Adresse, die aus dem Subnetz zugewiesen werden. Sie können VPC-Firewallregeln so konfigurieren, dass Verbindungen für die VMs in einem Netzwerk zugelassen oder abgelehnt werden. Für jedes Netzwerk gelten Firewallregeln, die alle eingehenden Verbindungen blockieren und alle ausgehenden Verbindungen zulassen. In der Regel kann ein VPC-Netzwerk nur innerhalb seines Projekts verwendet werden. Wenn Sie jedoch dasselbe Netzwerk für mehrere Projekte verwenden möchten, können Sie eine freigegebene VPC verwenden.

Zusammenfassung: Jeder Job wird auf VMs ausgeführt, die jeweils IP-Adressen zum Herstellen von Verbindungen verwenden, die durch die Firewallregeln für das Netzwerk gesteuert werden.

Weitere Informationen zu Netzwerkkonzepten finden Sie in der Compute Engine-Dokumentation unter Netzwerkübersicht für VMs und in der VPC-Dokumentation unter Virtual Private Cloud (VPC).

Zusätzliche Netzwerkeinschränkungen

Zur Verbesserung der Sicherheit kann eine Netzwerkkonfiguration mehr Einschränkungen als nur die Firewallregeln für ihr Netzwerk beinhalten. Beispielsweise kann Ihr Projekt oder Ihre Organisation Einschränkungen für Organisationsrichtlinien oder andere Google Cloud-Dienste verwenden, um das Netzwerk einzuschränken.

In den folgenden Abschnitten werden gängige Optionen zur weiteren Einschränkung des Netzwerks erläutert:

• Externe Verbindungen für Joblaufzeitumgebungen blockieren
• Netzwerkzugriff für Batch mit VPC Service Controls einschränken

Externe Verbindungen für Joblaufzeitumgebungen blockieren

Sie können externe Verbindungen zu und von der Laufzeitumgebung für einen Job direkt blockieren. Verwenden Sie dazu bis zu eine der folgenden Optionen:

• Externen Zugriff für alle VMs für einen Job blockieren. Externen Zugriff auf die VMs eines Jobs blockieren, um einen Job zu erstellen, der auf VMs ohne externe IP-Adressen ausgeführt wird. Diese Option ist für ein Netzwerk oder Projekt häufig erforderlich oder wird optional zur Verbesserung der Sicherheit verwendet.

  Auf VMs ohne externe IP-Adressen kann nur von einem anderen Knoten im selben Netzwerk über ihre internen IP-Adressen zugegriffen werden. Daher müssen Sie den Zugriff auf diese VMs so konfigurieren:

  • Verwenden Sie zum Ausführen eines Jobs auf VMs ohne externe IP-Adressen Cloud NAT oder den privaten Google-Zugriff, um den vom Job verwendeten APIs und Diensten Zugriff auf die Domains zu gewähren. Beispielsweise verwenden alle Batchjobs die Batch API und die Compute Engine API und sehr oft die Cloud Logging API.

  • Wenn Sie oder andere Nutzer eine Verbindung zu VMs ohne externe IP-Adressen herstellen müssen, lesen Sie den Abschnitt Verbindungsoption für ausschließlich interne VMs auswählen in der Compute Engine-Dokumentation.

• Externen Zugriff für einen oder mehrere Container für einen Job blockieren. Wenn ein Job Container verwendet und nicht bereits den externen Zugriff für alle seine VMs blockiert, können Sie für jeden Container auswählen, ob er den externen Zugriff blockieren soll. Diese Option ist optional. Sie kann verwendet werden, um die Sicherheit zu verbessern, wenn Sie das Netzwerk für einen Job angeben oder einen Job erstellen, der die Standardnetzwerkkonfiguration verwendet.

Batch-Ressourcen und -Daten mit VPC Service Controls schützen

Zusätzlich zum Blockieren des externen Zugriffs für alle VMs für einen Job können Sie optional das Netzwerk mithilfe von VPC Service Controls weiter einschränken.

Im Gegensatz zu den anderen in diesem Dokument beschriebenen Netzwerkoptionen, die den Netzwerkzugriff auf VMs oder Container, die Jobs ausführen, beschränken können, können Sie mit VPC Service Controls den Netzwerkzugriff auf die Ressourcen und Daten für Google Cloud-Dienste wie Batchjobs und -daten einschränken.

Mit VPC Service Controls können Sie Perimeter erstellen, die die Ressourcen und Daten der von Ihnen angegebenen Google Cloud-Dienste schützen. Der Dienstperimeter isoliert die ausgewählten Dienste und Ressourcen und blockiert Verbindungen zu Google Cloud-Diensten außerhalb des Perimeters sowie alle nicht explizit zugelassenen Verbindungen aus dem Internet. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls und unter VPC Service Controls mit Batch verwenden.

Standard-Netzwerkkonfiguration

Wenn Sie einen Job erstellen und keine Netzwerkoptionen angeben, verwenden die VMs des Jobs das Standardnetzwerk und das Subnetz für den Standort der VM.

Jedes Projekt hat ein Standardnetzwerk namens default, es sei denn, Sie löschen es oder deaktivieren es mithilfe der Einschränkung der Organisationsrichtlinie compute.skipDefaultNetworkCreation. Das Standardnetzwerk ist ein Netzwerk im automatischen Modus, also hat es ein Subnetz in jeder Region. Zusätzlich zu den implizierten Firewallregeln für jedes Netzwerk hat das default-Netzwerk auch vorkonfigurierte Firewallregeln, die den Zugriff für gängige Anwendungsfälle ermöglichen. Weitere Informationen finden Sie in der VPC-Dokumentation unter Vorab ausgefüllte Regeln im Standardnetzwerk.

Verwenden Sie die Standard-Netzwerkkonfiguration, wenn Sie keine Netzwerkanforderungen für einen Job haben und kein Netzwerk konfigurieren möchten. Einzelheiten zur Verwendung der Standard-Netzwerkkonfiguration finden Sie unter Zeitpunkt der Netzwerkkonfiguration in diesem Dokument.

Nächste Schritte

• Konfigurieren Sie das Netzwerk für Batch:
  • Netzwerk für einen Job angeben
  • Externen Zugriff für einen Job blockieren
  • VPC Service Controls mit Batch verwenden
• Wie Sie einen Job erstellen, der die Standard-Netzwerkkonfiguration verwendet, erfahren Sie unter Einfachen Job erstellen und ausführen.
• Sie können den Zugriff für einen Job auch mithilfe eines benutzerdefinierten Dienstkontos steuern.